Phishing – на лов за доверие

от | ное. 9, 2021 | Сигурност

Не, не сте го прочели погрешно, наистина си е phishing, а не fishing (като „риболов“), макар че пак има примамка и пак уловените са тези, което не внимават. До докато във втория случай това са рибите, подлъгани от рибарите, когато става дума за явлението, уж с правописна грешка, жертвата може да бъде всеки от нас.

На български още си нямаме превод за това явление, с което продължаваме поредицата от публикации за сигурността онлайн в блога на ZETTAHOST.bg. То може да ви прозвучи като нещо далечно, невъзможно… докато изведнъж не се окажете жертва, подлъгани от умелите хватки на онлайн зложелателите. В следващите редове ще се спрем на най-важните правила за това как да се предпазим от неприятното явление phishing, което надали някога ще изчезне от онлайн комуникацията.

 

На въдицата

Интересно е, че на български сме свикнали да използваме турската дума „балък“ за човека, който лесно се е поддал на опит да бъде измамен по някакъв начин. А тя си значи рибар, обикновено рибарят е по-хитрият, в най-лошия случай ще остане без улов.

Проблемът определено е за този, който попадне в „ролята“ на рибата.

Тази тема има доста общо със социалното инженерство, за което вече сме ви разказвали подробно. И все пак, тя е едно конкретно негово изражение, което е сред най-честите, най-успешни и най-доходоносни за зложелателите онлайн атаки. И определено си заслужава да се обърне повече конкретно внимание.

 

Кликни ме тук, и тук, и тук

И така, става дума за тип атака в областта на социалното инженерство, при която целта е да бъдат откраднати данните на потребителя – независимо дали става дума за потребителско име и парола, или цифрите от кредитната карта. При нея потребителят е подведен да кликне върху зловреден линк. И това е целият принцип.

Всъщност, точно както при риболова, сравнението е много точно. И също както при рибарите, важното е да се намери правилната примамка, по която жертвата да се подведе.

Вариантите за „стръв“, която може да се използва, са безкрайни. От обичайните имейли, чиято цел е да изглеждат „като истински“ през персонализирани атаки, които търсят по-прецизно таргетиране на жертвата. Например, ако се знае, че даден човек има сметка в дадена банка и именно от имейл, подобен на нейния, дойде съобщение, което изглежда съвсем неразличимо от истинските, шансът за успех е значително по-голям.

 

И ловец съм, и рибар съм

В такива случаи атаката минава през други форми на социално инженерство, а, както доста често е ставало дума в поредицата за сигурността онлайн в блога на ZETTAHOST.bg, атаките стават особено опасни, когато комбинират повече от един вектор.

Нататък, развитието на атаката може да има много и все неприятни последствия. Откраднат профил в социална мрежа, „покупки“ с кредитната карта на жертвата. Кражба на лични данни, което пък е особен проблем, ако нападението е насочено към обществени личности.

Резултатът може да е еднократен, или пък да продължава нататък с времето. Така или иначе, основното, което си струва да имаме предвид, стане ли дума за phishing, е винаги да сме бдителни.

 

Доверявай, но проверявай

Да ни кара да се съмняваме дори малкото отклонение във всеки имейл. Ако, например, идва от банка, да обърнем внимание дали наистина адресът на подателя изглежда достатъчно убедително. Ако се окаже klfsdd@dfsdfdf.dc, най-вероятно подателят наистина не е финансовата институция, която уж пише, че е.

Пред последните години, за щастие, phishing атаките не са чак толкова чести в света на социалните мрежи. И все пак, от време на време, дори тяхната защита пада жертва. Имайте едно наум, ако ви пращат покани профили, които не вдъхват доверие под някаква форма. И, разбира се, ако приятели или просто познати ви изпращат линк с някакъв необичаен за тях текст. В огромна част от случаите се оказва, че нещо не е наред.

Истината е, че усет за всяко от тези правила постепенно и неизбежно развива всеки от потребителите онлайн, сблъсквайки се с все повече примери, които го карат да бъде бдителен.

 

Сигур…Но!

А това, от своя страна, понякога също може да изиграе лоша шега. Защото phishing атаките не спират да бъдат особено ефективни, да са една от най-големите опасности онлайн, главно понеже не спират да се развиват.

Защото, както и всички други проблеми пред уеб сигурността в групата на социалното инженерство, се целят не в софтуера, а в неговия потребител. И доколкото, заобиколени или не от технологии, си оставаме хора, арсеналът на атакуващите постоянно се развива и придобива нови измерения. Персонализираните атаки са особено опасни, но дори и иначе опасността е налице, защото този тип хакерски нападения могат да приемат различни лица.

И предпазването от тях не минава през заучаването на няколко прости правила, които събрахме накратко преди малко. То по-скоро е начин на мислене. Всички, малко или повече, го развиваме чрез ежедневните си взаимодействия в мрежата. Често се налага да обръщаме повече внимание на по-възрастните хора край нас, на тези с по-малко опит в онлайн комуникацията, които са доста по-застрашени от подобен тип атаки.

 

За щита

Но никой не е защитен от тях. Дали става дума за неочаквано добре симулирана реална комуникация, за една буквичка, променена в даден адрес, която няма как да бъде забелязана, никой не е застрахован.

Затова и надали phishing атаките някога ще спрат, както няма шанс и рибарите да оставят на мира водоем, пълен с риба, където винаги могат да пускат отдалеч изкусителната си стръв. Въпросът е да внимаваме, поне толкова, колкото ни е по силите.

Освен това, както стана дума, колкото по-многопластова е атаката, толкова по-опасна става. Но същото важи и от другата страна. Колкото повече са мерките за защита, толкова е по-малък рискът. Използвайте колкото можете по-трудни за отгатване пароли, различни на отделните сайтове. Активирайте двуфакторната автентикация, където е възможно.

Но най-важното, помнете, че има защо най-трудно онлайн да се печели именно доверието.

 

Възел от пъзел

И отново нека за всеки случай завършим с най-важното. Информационната сигурност работи само когато е на много нива, които се допълват и покриват. Липсата дори на едно от тях може да провали всичко.

Темата разглеждаме стъпка по стъпка в мащабна поредица от публикации в секцията за сигурността в блога на ZETTAHOST.bg.

От списъка с конкретните атаки, за които да сме подозрителни, вече ви разказахме за DoS и DDoS, SQL Injection, Cross-site Scripting, Cross-Site Request Forgery и XXE.

Разгледахме внимателно и човешките фактори от двете страни на темата за сигурността с материали за социалното инженерство, „белите хакери“ и сигурността чрез неизвестност. Акцентирахме и върху нашумели технологии като VPN и IoT и рисковете, които идват с тях.

Сигурността за нас винаги е на първо място и това в пълна степен важи за хостинга, който предлагаме. Можете да започнете да го ползвате напълно безплатно тук!

<a href="https://www.zettahost.bg/author/georgik/" target="_self">Георги Караманев</a>

Георги Караманев

Георги е журналист, писател и Front-end програмист – част от екипа на ZETTAHOST.bg. Има повече от 15 години опит в подготвянето на публикации на технологична тематика за Списание 8, в. „24 часа“ и други медии. През 2019 г. и 2021 г. получи наградите в категория „Технологии и иновации“ от конкурса на Dir.bg за чиста журналистика Web Report.
Последвайте ни

Най-нови публикации:

ChatGPT: 6 ползи от изкуствения интелект за онлайн бизнеса

ChatGPT може да се превърне в тайното оръжие за вашия онлайн бизнес. От изготвянето на съдържание за сайта, през анализа на данни до съставянето на бизнес план, платформата предлага различни решения, а ние ви представихме 6 от основните ползи на изкуствения интелект.

Личен сайт безплатно!

Регистрирай се безплатно и си направи сайт още днес.

Безплатната хостинг услуга на ZETTAHOST.bg няма скрити такси и изисквания за ползване.

Безплатен хостинг

Pin It on Pinterest

Share This